[AD DS Sécurité] Introduction

 

À la suite de différents échanges et demande par mail ou autres, j'ai décidé d'ajouter une nouvelle rubrique concernant la sécurité et les bonnes pratiques sur l'administration d'un environnement Active Directory.

C'est un des deux sujets, que je souhaite élargir dans les prochains mois, avec la partie Azure.

Mais avant de commencer, je pense qu'il est utile de délimiter, les éléments que vous pourrez y trouver et surtout ce à quoi vous ne devez pas vous attendre. Je ne ferai pas d'articles sur des solutions de sécurité d'autres marques, ni sur les outils que je n'utilise, ni sur les autres. Je n'ai pas à porter de jugement sur ces produits.

Un autre point important et qu'il ne faut pas vous attendre à une liste exhaustive d'action à réaliser supprimant tous risques. Le sujet de la sécurité est délicat et évolue vite, le seul but de ces différents articles et de vous aider dans votre démarche et dans votre réflexion. Peut-être aurez-vous un avis différent sur certain point ? Ce n'est pas un problème …

Le but n'est pas de vous convaincre, mais de vous faire réfléchir à certains sujets.

Une partie d'entre vous, trouvera sans doute certains conseils évident et sans grand intérêt, ce n'est pas important. C'est même plutôt rassurant ! Je ne souhaite pas faire des articles destinés à un groupe d'élite et d'expert. D'abord par ce que je n'ai pas la prétention de pouvoir le faire. Ensuite je trouve plus utile de continuer sur des articles ouverts à un public plus large d'administrateurs Windows.

Il est nécessaire, tout de même d'avoir des connaissances de base sur l'administration Active Directory, la gestion des comptes, des groupes etc… Si vous n'êtes pas à l'aise avec ces éléments, je vous suggère mon livre permettant de découvrir les services de domaines Active Directory : https://becomeitexpert.com/produit/active-directory-2016-conception-et-administration-en-entreprise-2eme-edition/.

Je profite de l'occasion pour remercier Mathieu de partager son ressenti sur le livre (voir lien ci-dessus) et pour répondre à ces remarques sur certains sujets comme le blindage Kerberos et les silos d'authentification qui sont effectivement absents du livre. Lorsque j'ai écrit ce livre, je n'avais pas pour objectif de faire une bible ou un dictionnaire exhaustif sur les services de domaines Active Directory (voir description et sommaire). Ma première intention était d'en faire un livre de découverte et de permettre à l'ensemble des lecteurs de mettre en œuvre les éléments décrit progressivement. C'est sans doute la partie la plus délicate, d'organiser le livre avec une continuité, plutôt qu'un ensemble de chapitre indépendant. Ne pas parler de certains éléments en début de livre car ils sont dépendants d'autres, présentés plus tard n'est pas toujours simple, tout comme rester cibler sur les objectifs et permettre à des personnes de tout niveau de le suivre.

D'un avis tout à fait personnel, je pense que détailler les mécanismes d'authentification NTLM, Kerberos, le blindage Kerberos, sont des sujets qui demandent déjà une bonne maîtrise des services de domaine.

Pour finir la parenthèse, les éléments cités par Mathieu ne sont pas des nouveautés de Windows Server 2016, mais sont apparus avec Windows Server 2012 et 2012R2.

Pour ma part, avant de vous lancer dans le blindage Kerberos ou les silos d'authentification, il est important de comprendre certains éléments liés à l'organisation de votre environnement Active Directory, dont certains seront présentés dans les prochains articles.

Afin d'introduire les différents articles qui vont venir, commençons par représenter notre infrastructure et notre forêt Active Directory. Nous y retrouverons entre autres des :

  • Contrôleurs de domaine : (serveur hébergeant un exemplaire des comptes et des mots de passe des utilisateurs d'un domaine)
  • Postes d'administration
  • Serveurs applicatifs et de données 
  • Postes de travail 

Ces différents éléments vont se repartir dans différentes zones plus ou moins critiques :

  • Verte : les postes de travail et les équipements tiers destinés aux utilisateurs.
  • Orange : contenant les serveurs et les données de l'entreprise
  • Rouge : contenant les contrôleurs de domaine et les postes d'administrations.

La zone orange est sans doute la zone la plus importante, vue quel contient les données de l'entreprises. La zone rouge est la plus sensible, dans le sens ou un problème de sécurité dans cette zone, remet en cause la sécurité de l'ensemble.

Dans un environnement cloisonné une atteinte à la sécurité d'un élément de la zone verte ne devrait pas permettre de remonter jusqu'à la zone rouge. Pour atteindre cet objectif il vous faudra respecter un minimum de conseil et réfléchir à l'architecture de votre système. Nous verrons dans un autre article que l'ouverture de session sur un poste de travail avec un compte membre du groupe « admins du domaine » peut être suffisant pour remettre en cause la sécurité de toutes les zones. Certains éléments comme les silos d'authentification, l'authentification composée permettront d'aller plus loin au niveau des protocoles utilisés dans certaines zones.

Une des premières tâches de l'administrateur sera de mettre en place, une documentation confidentielle et sensible sur les différents éléments et de la maintenir à jour. Il faudra essayer de faire ressortir les différentes zones de sécurité.

A bientôt,…

 

 

 

Theme: 

Systeme: 

Annee: